Debians sikkerhedsbulletin

DSA-2247-1 rails -- flere sårbarheder

Rapporteret den:
31. maj 2011
Berørte pakker:
rails
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 614864.
I Mitres CVE-ordbog: CVE-2011-0446, CVE-2011-0447.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Rails, Rubys webapplikationsframework. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2011-0446

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS), når JavaScript-encoding blev anvendt, gjorde det muligt for fjernarngribere at indsprøjte vilkårligt webskript eller HTML.

  • CVE-2011-0447

    Rails validerede ikke på korrekt vis HTTP-forespørgsler, som indeholder en X-Requested-With-header, hvilket gjorde det lettere for fjernangribere at iværksætte angreb i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF).

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.1.0-7+lenny0.1.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze0.1.

I den ustabile distribution (sid), er dette problem rettet i version 2.3.11-0.1.

Vi anbefaler at du opgraderer dine rails-pakker.